最近Viasat KA-SAT调制解调器遭受网络攻击的背后可能是俄罗斯的雨刷恶意软件

SentinelOne的最新研究显示，2022年2月24日，也就是俄罗斯军队入侵乌克兰的同一天，针对Viasat的网络攻击暂时使KA-SAT调制解调器离线，据信是雨刷恶意软件的后果。

调查结果公布的前一天，这家美国电信公司披露，该公司是其KA-SAT网络遭受多方面蓄意“网络攻击”的目标，将其与攻击者利用VPN设备中的错误配置远程访问KA-SAT网络的受信任管理部分的“地面网络入侵”联系起来。"

在获得访问权限后，对手对卫星宽带服务的数万个调制解调器发出了“破坏性命令”，这些调制解调器“在调制解调器的闪存中过度写入关键数据，导致调制解调器无法访问网络，但并非永久无法使用”

但SentinelOne表示，它在3月15日发现了一个新的恶意软件（名为“ukrop”），这让整个事件有了一个全新的视角–；KA-SAT管理机制的供应链折衷方案，用于交付雨刮器，名为酸雨，并实现可扩展的中断。

研究人员胡安·安德烈斯·格雷罗·萨阿德（Juan Andres Guerrero Saade）和马克斯·范·阿梅隆根（Max van Amerongen）说，AcidRain是一个32位MIPS ELF可执行文件，它“对文件系统和各种已知的存储设备文件进行深入擦除”。“如果代码以root用户身份运行，AcidRain会对文件系统中的非标准文件执行初始递归覆盖和删除。”

擦拭过程完成后，设备将重新启动，使其无法运行。这使得AcidRain成为继WhisperGate、WhisperKill、HermiticWiper、IsaacWiper、CaddyWiper和DoubleZero之后，自年初以来第七个与俄罗斯-乌克兰战争有关的雨刷菌株。

对雨刷器样本的进一步分析还发现，一个“有趣”的代码与第三阶段插件（“dstr”）重叠，该插件用于攻击一个名为VPNFilter的恶意软件家族，该家族被认为是俄罗斯沙虫（又名伏都教熊）集团的成员。

2022年2月下旬，英国国家网络安全中心（NCSC）、美国网络安全与基础设施安全局（CISA）、国家安全局（NSA）和联邦调查局（FBI）披露了VPNFLASH的继任者，称替代框架“独眼巨人”眨眼。

尽管如此，目前仍不清楚威胁参与者是如何获得VPN访问权限的。在与《黑客新闻》分享的一份声明中，Viasat证实，破坏数据的恶意软件确实使用“合法管理”命令部署在调制解调器上，但以正在进行的调查为理由，没有透露进一步的细节。

该公司的全部声明如下

昨天Viasat事件报告中提供的事实是准确的。SentinelLabs报告中关于“ukrop”二进制文件的分析与我们报告中的事实一致——具体而言，SentinelLabs使用Viasat之前描述的合法管理命令识别调制解调器上运行的破坏性可执行文件。

正如我们在报告中指出的：“攻击者通过这个受信任的管理网络横向移动到一个用于管理和操作网络的特定网段，然后利用这个网络访问在大量家用调制解调器上同时执行合法的、有针对性的管理命令。”

此外，我们不认为这是供应链攻击或漏洞。正如我们所指出的，“Viasat没有证据表明正常网络操作中涉及的标准调制解调器软件或固件分发或更新过程在攻击中被使用或被破坏。”此外，“没有证据表明任何最终用户数据被访问或泄露。”

由于正在进行的调查，以及为了确保我们的系统免受持续攻击的安全，我们无法公开该事件的所有法医细节。通过这一过程，我们一直并将继续与世界各地的执法机构和政府机构合作，这些机构已经获得了此次活动的详细信息。

我们希望在调查完成后能提供更多的法医细节。